Deși este obișnuit să ne gândim la un site web sigur ca fiind opusul unuia nesigur, alegerea nu este, de fapt, binară. Pentru ca un site web să fie cu adevărat sigur, există aproximativ o duzină de rațe care trebuie să fie toate aliniate la rând.
Vederea HTTPS nu înseamnă că securitatea este bine făcută, site-urile web sigure există în multe nuanțe de gri. Deoarece browserele web nu oferă o duzină de indicatori vizuali, multe site-uri care nu sunt deosebit de sigure par, pentru toți, cu excepția celor mai tocilari din domeniul tehnologiei, a fi totuși sigure. Furnizorii de browsere au simplificat lucrurile pentru cei care nu sunt pasionați de tehnologie.
În septembrie anul trecut, am criticat Apple pentru că nu avea toate rațele la rând, scriind că unele dintre inadvertențele lor în materie de securitate au permis ca site-urile Apple să divulge parole.
Informațiile tehnice detaliate din acel articol provin din excelentul SSL Server Test de la SSL Labs, o divizie a Qualys. Testul analizează site-urile web securizate, raportează toate detaliile tehnice sângeroase și atribuie o notă literară. Multe dintre ele nu primesc nota A. O mulțime de rațe nu sunt aliniate corect pe web.
Aici, mă voi concentra asupra primei rațe, protocolul HTTPS în sine.
În vremurile vechi, protocolul se numea SSL, Secure Security Layer. Existau două versiuni de SSL, numerotate 2 (lansată în 1995) și 3 (lansată în 1996). Versiunile mai recente ale protocolului se numesc TLS (Transport Layer Security) și există patru versiuni ale acestuia, fiecare iterație fiind mai sigură. TLS versiunea 1.0 datează din 1999, în timp ce versiunea 1.1, prima din acest secol, a fost definită în 2006. Cea mai populară versiune a TLS este 1.2, care a fost definită în 2008. Versiunea 1.3 se află în prezent în stadiul de proiect.
Din ceea ce am văzut cu ajutorul SSL Server Test, marea majoritate a site-urilor web sigure acceptă versiunile TLS 1.0, 1.1 și 1.2. Aproape niciunul, nu suportă încă versiunile SSL mai vechi, ceea ce este un lucru bun.
Site-urile care suportă toate cele trei versiuni de TLS pot obține un rating A de la Qualys, o decizie pe care o consider discutabilă.
Pentru început, TLS 1.0 și 1.1 nu sunt la fel de sigure ca TLS 1.2. În plus, TLS 1.2 este destul de vechi. Ce spune despre un site securizat faptul că nu suportă încă un protocol de securitate care a fost lansat acum nouă ani? Nimic bun.
În calitate de tip Defensive Computing, nu aș avea încredere într-un site web care nu suportă TLS versiunea 1.2. Din fericire, nu trebuie să o fac.
Firefox vă permite să alegeți versiunile protocolului HTTPS pe care doriți să le suportați.
Pasii de mai jos vă permit să dezactivați TLS 1.0 și TLS 1.1 împreună cu vechea versiune SSL 3. După ce faceți acest lucru, Firefox va afișa doar site-urile securizate care acceptă TLS 1.2. Site-urile web HTTP nesigure nu sunt afectate. Suntem, de fapt, aliniați primul rață.
Acest tweak al Firefox a fost testat recent folosind versiunea 54 pe Windows și Android și versiunea 50 pe OS X. Nu este suportat de Firefox 7.5 pe iOS 10. De asemenea, nu este nimic nou, a fost introdus pentru prima dată în aprilie 2013.
TWEAKING
1. Introduceți about:config în bara de adrese
2. Faceți clic pe avertismentul privind anularea garanției
3. În bara de căutare, căutați „security.tls„
4. Aceasta ar trebui să ajungă să afișeze aproximativ 10 opțiuni de configurare. Intrarea pentru „security.tls.version.min” ar trebui să fie la valoarea implicită de 1.
5. Faceți dublu clic pe „security.tls.version.min„
5. Setați-o la 3 și faceți clic pe butonul OK.
Rezultatul ar trebui să arate ca în imaginea de mai jos (din Firefox 54 pe Windows).
Configurarea Firefox pentru a folosi doar TLS versiunea 1.2
Acum, veți naviga pe web un pic mai sigur.
Am schimbat acest lucru cu ceva timp în urmă în copia mea de Firefox și, în mare parte, a fost bine. Adică, aproape toate site-urile web care suportă TLS cât de cât, suportă versiunea 1.2. Totuși, suntem mai în siguranță evitând TLS 1.0 și 1.1.
Update: 14 iulie 2017: O investigație suplimentară a arătat că acest tweak este, de asemenea, suportat cu Firefox versiunea 49 care rulează pe Lubuntu versiunea 16.10.
Continuare: Verificarea și testarea faptului că Firefox este restricționat la TLS 1.2
FEEDBACK
Intrați în contact cu mine în privat prin e-mail la numele meu complet la Gmail sau public pe Twitter la @defensivecomput.
.